Całkiem ciekawy temat się z tego robi: Przeterminowana promocja. Dwa ostatnie ciekawe wpisy w temacie tego co jemy i naszych praw jako konsumentów z serwisu socjotechnika.net:
Jak czujecie się w roli konsumenta? Jak smakują wam kupowane przez was produkty? Jak często macie wrażenie, że coś jest produktem X tylko z nazwy i koło prawdziwego X nawet nie leżało?
Ciekawy tekst: Changing Passwords. Przyznam się, że ja nie zmieniam swoich haseł. No, przynajmniej nie wszystkie. Uważam, że w większości przypadków zysk z takiej praktyki nie uzasadnia jej uciążliwości. Tu nawet nie chodzi o pamiętanie zmienionego hasła, pamiętać nie muszę bo korzystam z KeePass. Zmiana kilkudziesięciu haseł trwa.
Zdjęcie prezentowane w poprzednim wpisie moim zdaniem oddaje dość dobrze problem ze znalezieniem równowagi między bezpieczeństwem, a wygodą użytkowania. I nie dotyczy to wyłącznie IT.
Mój niezbyt trudny przykład doczekał się rozwiązania. Jego autorem jest ^radekk, a zobaczyć je można (podobnie jak wcześniejsze ^koto) na blipie (tag #thrts). Jak wspominałem, sam przykład nie jest specjalnie trudny, ciekawsza może być stojąca za nim historia.
Czasami jest tak, że niektóre żądania do serwera HTTP kończą się nagłym acz gwałtownym zakończeniem połączenia przy pomocy RST. Zdarzenie takie z dużą dozą pewności sugeruje, że do akcji wkroczył IPS. Jak wymacać, w którym miejscu sieci rzeczony IPS się znajduje?
Dziś odbędzie się kolejne spotkanie SPINu. Pierwotnie podana była informacja, że na tym spotkaniu będę mówił ja na temat testów bezpieczeństwa. Plany uległy drobnej zmianie i temat bezpieczeństwa został przesunięty na listopad. Więcej informacji: XXXIV spotkanie SPINu – 28.10. To tak tylko w ramach informacji, bo wiem, że kilku osobom ta zmiana umknęła.
Od wczoraj(?) stało się głośno o firesheep, korzystanie z tego narzędzia opisane jest między innymi tu: Wykradamy sesję użytkownika (Firefox + Firesheep). Odkrywczego tutaj nie ma nic. Przejęcie identyfikatora sesji powoduje (zwykle) przejęcie sesji użytkownika , dlatego identyfikator ten należy chronić. Między innymi poprzez szyfrowanie komunikacji między przeglądarką i serwerem. Opowieści o tym, że jest to bardzo kosztowne obliczeniowo, są “nieco” przesadzone. Warto zapoznać się na przykład z tym tekstem: Overclocking SSL.
Po eksploatacji starego już przykładu (patrz: Session Fixation: rozwiązanie), przyszedł w końcu czas by pokazać coś nowego. To coś nowego znajduje się pod adresem http://bootcamp.threats.pl/lesson24/. Przykład jest chyba dość prosty, można mu zrobić krzywdę na więcej niż jeden sposób.
